Debians sikkerhedsbulletin

DLA-435-1 tomcat6 -- LTS-sikkerhedsopdatering

Rapporteret den:
27. feb 2016
Berørte pakker:
tomcat6
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2015-5174, CVE-2015-5345, CVE-2015-5351, CVE-2016-0706, CVE-2016-0714, CVE-2016-0763.
Yderligere oplysninger:

Tomcat 6, en implementering af specifikationerne af Java Servlet og JavaServer Pages (JSP) og et rent Java-webservermiljø, var påvirket af flere sikkerhedsproblemer før version 6.0.45.

  • CVE-2015-5174

    Mappegennemløbssårbarhed i RequestUtil.java i Apache Tomcat 6.x før 6.0.45, 7.x før 7.0.65 samt 8.x før 8.0.27, gjorde det muligt for fjernautentificerede brugere at omgå tilsigtede SecurityManager-begrænsninger og se en forældermappe gennem en /.. (slash dot dot) i et stinavn, der anvendes af en webapplikation i et getResource-, getResourceAsStream- eller getResourcePaths-kald, som demonstreret med mappen $CATALINA_BASE/webapps.

  • CVE-2015-5345

    Mapper-komponenten i Apache Tomcat 6.x før 6.0.45, 7.x før 7.0.67, 8.x før 8.0.30 samt 9.x før 9.0.0.M2, behandlede viderestillinger før der blev taget stilling til sikkerhedsbegrænsninger og Filters, hvilket gjorde det muligt for fjernangribere at afgøre hvorvidt en mappe findes, gennem en URL, der mangler en afsluttede skråstreg.

  • CVE-2015-5351

    Manager- og Host Manager-applikationer i Apache Tomcat, oprettede sessioner og sendte CSRF-tokens til vilkårlige nye forespørgsler, hvilket gjorde det muligt for fjernangribere at omgå en CSRF-beskyttelsesmekanisme, ved at anvende et token.

  • CVE-2016-0706

    Apache Tomcat 6.x før 6.0.45, 7.x før 7.0.68, 8.x før 8.0.31 samt 9.x før 9.0.0.M2, indsatte ikke org.apache.catalina.manager.StatusManagerServlet i listen org/apache /catalina/core/RestrictedServlets.properties, hvilket gjorde det muligt for fjernautentificerede brugere, at omgå tilsigtede SecurityManager-begrænsninger samt læse vilkårlige HTTP-forespørgsler, og dermed opdage session-ID-værdier, gennem en fabrikeret webapplikation.

  • CVE-2016-0714

    Implemteringen af sessionpersistens i Apache Tomcat 6.x før 6.0.45, 7.x før 7.0.68, 8.x før 8.0.31 samt 9.x før 9.0.0.M2, fejlbehandlede sessionsattributter, hvilket gjorde det muligt for fjernautentificerede brugere at omgå tilsigtede SecurityManager-begrænsninger samt udføre vilkårlig kode i en priviligeret kontekst gennem en webapplikation, som indsætter et fabrikeret objekt i en session.

  • CVE-2016-0763

    Metoden setGlobalContext i org/apache/naming/factory /ResourceLinkFactory.java i Apache Tomcat, tog ikke i betragtning hvorvidt kaldere af ResourceLinkFactory.setGlobalContext var autoriseret, hvilket gjorde det muligt for fjernautentificerede brugere at omgå tilsigtede SecurityManager-begrænsninger samt læse eller skrive til vilkårlige applikationsdata, eller forårsage et lammelsesangreb (applikationsforstyrrelse), gennem en webapplikation, som opsætter en fabrikeret, global kontekst.

I Debian 6 Squeeze, er disse problemer rettet i version 6.0.45-1~deb6u1.

Vi anbefaler at du opgraderer dine tomcat6-pakker.